Självstudie: utöka styrning till slut punkts reparationTutorial: Extend governance to endpoint remediation

Cloud App Security innehåller fördefinierade styrnings alternativ för principer, till exempel pausa en användare eller göra en fil privat.Cloud App Security provides predefined governance options for policies, such as suspend a user or make a file private. Med hjälp av den inbyggda integrationen med Microsoft Power automatisering kan du använda ett stort eko system av SaaS-anslutningar (Software as a Service) för att bygga arbets flöden för att automatisera processer, inklusive reparation.Using the native integration with Microsoft Power Automate, you can use a large ecosystem of software as a service (SaaS) connectors to build workflows to automate processes including remediation.

När du till exempel identifierar ett potentiellt hot mot skadlig kod kan du använda arbets flöden för att starta Microsoft Defender för reparations åtgärder för slut punkter, till exempel köra en Antivirus sökning eller isolera en slut punkt.For example, when detecting a possible malware threat, you can use workflows to start Microsoft Defender for Endpoint remediation actions such as running an antivirus scan or isolating an endpoint.

I den här självstudien får du lära dig hur du konfigurerar en princip styrnings åtgärd för att använda ett arbets flöde för att köra en virus genomsökning på en slut punkt där en användare visar tecken på misstänkt beteende.In this tutorial, you'll learn how to configure a policy governance action to use a workflow to run an antivirus scan on an endpoint where a user shows signs of suspicious behavior.

Anteckning

Dessa arbets flöden är bara relevanta för principer som innehåller användar aktivitet.These workflows are only relevant for policies that contains user activity. Du kan till exempel inte använda dessa arbets flöden med identifierings-eller OAuth-principer.For example, you can't use these workflows with Discovery or OAuth policies.

Om du inte har något energi schema kan du Registrera dig för ett kostnads fritt utvärderings konto.If you don't have a Power Automate plan, sign up for a free trial account.

FörutsättningarPrerequisites

  • Du måste ha en giltig Microsoft Power-plan för automatiseringYou must have a valid Microsoft Power Automate plan
  • Du måste ha en giltig Microsoft Defender för slut punkts planYou must have a valid Microsoft Defender for Endpoint plan
  • Den energi automatiserade miljön måste vara Azure AD-synkroniserad, Defender för övervakad slut punkt och domänanslutnaThe Power Automate environment must be Azure AD synced, Defender for Endpoint monitored, and domain-joined

Fas 1: generera en Cloud App Security-API-tokenPhase 1: Generate a Cloud App Security API token

Anteckning

Om du tidigare har skapat ett arbets flöde med hjälp av en Cloud App Security-anslutning återaktiverar Power automatiskt token och du kan hoppa över det här steget.If you have previously created a workflow using a Cloud App Security connector, Power Automate automatically reuses the token and you can skip this step.

  1. I Cloud App Security, i meny raden, klickar du på ikonen Inställningar kugg hjuls Inställningar och väljer säkerhets tillägg.In Cloud App Security, in the menu bar, click the settings cog settings icon and select Security extensions.

  2. På sidan säkerhets tillägg klickar du på plus-knappen för att skapa en ny API-token.On the Security extensions page, click the plus button to generate a new API token.

  3. I popup-fönstret Skapa ny token anger du namnet på token (till exempel "Flow-token") och klickar sedan på generera.In the Generate new token pop-up, enter the token name (for example, "Flow-Token"), and then click Generate.

    Skärm bild av token-fönstret som visar knappen namn och generera.

  4. När token har genererats klickar du på kopierings ikonen till höger om den genererade token och klickar sedan på Stäng.Once the token is generated, click the copy icon to the right of the generated token, and then click Close. Du behöver token senare.You'll need the token later.

    Skärm bild av token-fönstret, som visar token och kopierings processen.

Fas 2: skapa ett flöde för att köra en virus genomsökningPhase 2: Create a flow to run an antivirus scan

Anteckning

Om du tidigare har skapat ett flöde med hjälp av en Defender för slut punkts koppling, återanvänder automatiskt Power-anslutningen och du kan hoppa över inloggnings steget.If you have previously created a flow using a Defender for Endpoint connector, Power Automate automatically reuses the connector and you can skip the Sign in step.

  1. Gå till Power automatiserings portalen och välj mallar.Go to the Power Automate portal and select Templates.

    Skärm bild av den huvudsakliga Energis par sidan som visar valet av mallar.

  2. Sök efter "Cloud App Security" och välj kör antivirus sökning med Windows Defender vid en Cloud App Security avisering.Search for "Cloud App Security" and select Run antivirus scan using Windows Defender upon a Cloud App Security alert.

    Skärm bild av sidan mallar som automatiseras med Sök resultaten.

  3. Klicka på Logga in på den rad där Microsoft Defender för slut punkts koppling visas i listan över appar.In the list of apps, on the row in which Microsoft Defender for Endpoint connector appears, click Sign in.

    Skärm bild av sidan mallar för mallar som visar inloggnings processen.

Fas 3: konfigurera flödetPhase 3: Configure the flow

Anteckning

Om du tidigare har skapat ett flöde med hjälp av en Azure AD-anslutning återanvänder Power Automatic automatiskt token och du kan hoppa över det här steget.If you have previously created a flow using an Azure AD connector, Power Automate automatically reuses the token and you can skip this step.

  1. I listan över appar, på den rad där Cloud App Security visas, klickar du på skapa.In the list of apps, on the row in which Cloud App Security appears, click Create.

    Skärm bild av sidan mallar som automatiseras, som visar knappen Cloud App Security skapa.

  2. I popup-fönstret Cloud App Security anger du anslutnings namnet (till exempel "Cloud App Security Token"), klistrar in den API-token som du kopierade och klickar sedan på skapa.In the Cloud App Security pop-up, enter the connection name (for example, "Cloud App Security Token"), paste the API token you copied, and then click Create.

    Skärm bild av fönstret Cloud App Security som visar knappen namn och nyckel post och skapa.

  3. Klicka på Logga in på den rad i vilken http med Azure AD visas i listan över appar.In the list of apps, on the row in which HTTP with Azure AD appears, click Sign in.

  4. I popup-fönstret http med Azure AD , för både bas resurs-URL: en och Azure AD Resource URI -fälten, anger https://graph.microsoft.com du och klickar sedan på Logga in och anger de ADMINISTRATÖRSAUTENTISERINGSUPPGIFTER som du vill använda med http med Azure AD Connector.In the HTTP with Azure AD pop-up, for both the Base Resource URL and Azure AD Resource URI fields, enter https://graph.microsoft.com, and then click Sign in and enter the admin credentials you want to use with the HTTP with Azure AD connector.

    Skärm bild av fönstret HTTP med Azure AD som visar resurs fälten och inloggnings knappen.

  5. Klicka på Fortsätt.Click Continue.

    Skärm bild av fönstret mallar automatiserat med de slutförda åtgärderna och knappen Fortsätt.

  6. När alla anslutna anslutningarna har anslutits, kan du, om du vill, ändra kommentaren och genomsöknings typen på sidan för varje enhet, och sedan klicka på Spara.Once all the connecters are successfully connected, on the flow's page under Apply to each device, optionally modify the comment and scan type, and then click Save.

    Skärm bild av sidan Flow som visar avsnittet skannings inställningar.

Fas 4: Konfigurera en princip för att köra flödetPhase 4: Configure a policy to run the flow

  1. I Cloud App Security klickar du på kontroll och sedan på principer.In Cloud App Security, click Control, and then click Policies.

  2. I listan med principer väljer du de tre punkterna i slutet av raden på den rad där den relevanta principen visas och väljer sedan Redigera princip.In the list of policies, on the row where the relevant policy appears, choose the three dots at the end of the row, and then choose Edit policy.

  3. Under aviseringar väljer du skicka aviseringar till flöde och väljer sedan kör antivirus sökning med Windows Defender vid en Cloud App Security avisering.Under Alerts, select Send alerts to Flow, and then select Run antivirus scan using Windows Defender upon a Cloud App Security alert.

    Skärm bild av sidan princip som visar avsnittet aviserings inställningar.

Alla aviseringar som aktive ras för den här principen kommer att initiera flödet för att köra antivirus genomsökningen.Now every alert raised for this policy will initiate the flow to run the antivirus scan.

Du kan använda stegen i den här självstudien för att skapa ett brett utbud av arbets flödes-baserade åtgärder för att utöka Cloud App Security reparations funktioner, inklusive andra Defender för slut punkts åtgärder.You can use the steps in this tutorial to create a wide range of workflow-based actions to extend Cloud App Security remediation capabilities, including other Defender for Endpoint actions. Om du vill se en lista över fördefinierade Cloud App Security arbets flöden, kan du söka efter "Cloud App Security"i automatiserat läge.To see a list of predefined Cloud App Security workflows, in Power Automate, search for "Cloud App Security".

Se ävenSee Also